▶ 보안 제품 리뷰/:: Symantec

Norton 360 5.0 리뷰 (7) - PC 보안 : 고급 이벤트 모니터링 (HIPS) / 네트워크 보안 맵

물여우 2011. 3. 25. 20:16
반응형
노턴 360의 고급 이벤트 모니터링과 네트워크 보안 맵 기능을 살펴봅니다.
단, 사전 방역 기능 중 하나인 고급 이벤트 모니터링 기능은 이전 리뷰로 대체합니다.




5-4. 고급 이벤트 모니터링 (HIPS)

고급 이벤트 모니터링은 HIPS(Host Intrusion Prevention System) 기능 중 하나로 고급 사용자를 위한 기능입니다. 비슷한 기능으로는 카스퍼스키와 코모도의 HIPS 기능이 있습니다. 다만 두 제품에 비해 노턴의 기능은 탐지 범위이 좁고 성능이 다소 떨어진다 평가 받습니다.

이전 리뷰에서도 Matousec의 자료가 나와있습니다만, 최신 자료를 참고해보자면 아래와 같습니다.


이런 이유로 PCtools가 시만텍에 합병되었을 때, 노턴 제품의 방화벽, 특히 고급 이벤트 모니터링 항목에 변화가 있지 않을까 예상도 되었습니다. 그러나 현재 노턴과 PCtools 제품은 별도의 라인으로 제작, 서비스 되고 있습니다.

고급 이벤트 모니터링 기능은 아래와 같이 '자동 프로그램 제어'를 해제해야만 사용할 수 있습니다.
즉 방화벽과 관련된 모든 기능을 사용자가 직접 관리해야합니다.


각 이벤트 모니터링 항목에 대한 자세한 내용은 이전 리뷰를 참고 바랍니다.

아래는 이벤트 항목에 대한 팝업창 모음입니다.


                                                            키로깅 진단

 

           COM 개체 활성화 시도 차단                                            dll 인젝션 차단

 

 

아래는 각 이벤트 항목들에서 실행이 허용된 객체가 관리되는 '구성' 항목입니다.




5-5. 네트워크 보안 맵

노턴의 네트워크 관리 도구는 공유기나 내부 내트워크로 묶여있는 시스템들간의 연결을 관리 감시하기 위한 기능입니다. 일반 가정에서는 공유기에 물린 PC들의 정보가 보여지지만 아파트에서는 라우터(또는 스위치)에 물힌 하부 PC들이 전부 보일 때도 있는 것 같습니다.

결론적으로 말하자면, 본인 시스템과 공유기에 물린 신뢰할 수 있는 PC 외에는 연결 제한 또는 ISP 감시를 활성화시켜 두는 것이 좋습니다.


네트워크 보안 맵 정보를 보고 싶으면 아래와 같이 '설정'->'내 네트워크' 항목을 클릭합니다.



네트워크 보안 맵 설정은 아래와 같습니다.

'신뢰 영역 제어'는 전체 네트워크 중 사용자가 '신뢰함'으로 지정한 연결 들을 따로 살펴보는 것으로 네트워크 보안 맵에서도 조정 할 수 있기에 큰 의미가 있는 것은 아닙니다. '네트워크 맵 - 삭제'는 노턴이 찾고 구성한 네트워크 맵을 초기화하는 것입니다.

'시작할 때 시작 화면'은 아래와 같이 네트워크 보안 관련 팁 화면을 의미합니다.



아래는 '구성' 버튼을 클릭할 때 나타나는 네트워크 보안 맵의 모습니다.


기본적으로 사용자 시스템의 정보가 나타나며, 시스템과 연결된 외부 시스템들의 정보를 확인할 수 있습니다.  

네트워크 상세 내역의 '편집' 버튼을 통해 기본 구성된 네트워크 연결에 관한 설정을 조정할 수 있습니다.




아래는 외부 시스템의 연결 정보입니다.

 


장치 항목의 '편집' 버튼을 클릭하면 아래와 같이 시스템 이름과 카테고리를 설정할 수 있습니다. 그러나 해당 항목은 단순히 보여지는 모습만 변경될 뿐, 연결 제한 등 보안 관리 항목은 아닙니다.




아래의 그림이 신뢰 수준의 '편집' 버튼을 클릭할 때 나타나는 연결 제한 설정입니다.

 

'완전 신뢰' 항목을 선택하면 IPS 검가까지 제외할 수 있어, 최적의 네트워크 연결 효율을 낼 수 있습니다. 그러나 일반적으로 연결 속도에 큰 차이가 없고 ARP 스푸핑 공격 등 내부 네트워크에서 발생할 수 있는 위험을 고려해볼 때 가급적 IPS 검사는 제외하지 마시기 바랍니다. 


아래는 네트워크 추가 버튼을 클릭할 때 나타나는 장치 추가 창입니다. IP 주소만 알면 시스템을 추가할 수 있습니다.



아래는 원격 모니터링 설정입니다. 해당 설정은 외부 시스템에 노턴 360이 존재할 경우에만 사용할 수 있는 것으로, 외부 시스템의 노턴 360의 각종 보안 기록 및 설정 상태 등을 살펴볼 수 있습니다. 환경 설정 조정 등을 할 수 없는 간단한 중앙 관리 기능이라고 보시면 됩니다. 360 제품군 자체가 1라이센스 3PC  판매이기 때문에 이런 기능이 추가된 것 같습니다.






고급 이벤트 모니터링은 이름 그대로 고급 기능이지만 상대적으로 성능이 떨어진다는 점과, 특정 항목을 제외하고는 단순 '차단' 외에는 작업 처리 항목이 없다는 점이 아쉬운 기능입니다. 사실 SONAR 기능과도 진단 항목이 겹치는 부분(※ 예: dll 인젝션 같은 코드 주입 실행 시 대부분 SONAR에서 차단)이 있어 다소 위치가 애매한 기능이기도 합니다.

최근 HIPS 기능들은 화이트 리스트 방식의 도입과 계층화 방식(카스퍼스키) 등 사용자 편의성을 위한 항목이 추가되고 있지만, 노턴의 HIPS는 HIPS의 진단 기능만 존재하기에 사용이 다소 불편합니다. 따라서 정상 프로그램에도 진단 팝업이 뜨고 있는 현재의 상황으로는 일반 사용자들이 사용하기에는 상당히 어렵다고 보고 이런 특성 때문에 기본적으로 실행이 해제되어 있다고 봅니다. 노턴에서 'HIPS는 부가 기능일 뿐' 이라는 느낌이 듭니다.

이것으로 네트워크 보안 기능을 모두 살펴보았습니다. PC 보안 항목인 악성코드 진단과 네트워크 보안 기능을 다 살펴봤기 때문에 사실상 중요한 항목은 리뷰가 거의 끝났습니다.


- 다음 글에서는 백업 기능을 살펴보겠습니다.
반응형